Yeni MAC adresleri random, arkadaslara katiliyorum.
Paketin Link Layer header'i da spoof edilmis olabilir. O nedenle kara duzen
calisacaksiniz :)
1. Bu hatayi aldiginiz makina da /var/log/messages'i takip ederken:
2. Bu hatayi aldiginiz makinanin bagli oldugu switch'e baska bir switch giriyor
mu?
1. Hayir:
Isiniz nispeten kolay, Bagli portlardaki kablolari teker teker cekip
(ya da switch'in konsolundan
portu disable edebiliyorsaniz o sekilde) hangi makinanin yaptigini
bulmaya calisin, makinayi
buldugunuzda kullanicisini hemen makinanin basindan uzaklastirip, buna
bir trojan'in mi
sebep oldugunu yoksa makinanin kullanicisinin bilerek birseyler
karistirip karistirmadigini
ogrenin:)
2. Evet:
O switch'i switch'inizden ayirin, mesajlar gittiyse o switch uzerindeki
bir makinadan
geliyor. 2 maddesindeki islemleri O switch icin tekrarlayin.
PS: Switch'inizin konsolundan switch portlarinda anormal bir trafik fazlaligi
olup olmadigina
bakin once, farkedilir derecede yogun bir saldiriysa buradan da
yakalayabilirsiniz.
Murat
On Wed, Sep 28, 2005 at 04:35:10PM +0300, M.Murat AKBA? wrote:
> Merhaba,
> Peki hangi makinada oldugunu anlaman?n bir yolu varm?d?r?
>
> M.Murat AKBA?
>
> 28.09.2005 tarihinde security security <[EMAIL PROTECTED]>
> yazm??:
> >
> > aginizda bir arp cache poisoner olmas? kuvvetle muhtemel, cok hizli olmas?
> > akla ilk onu getiriyor.
> >
> > On 9/28/05, M.Murat AKBA? < [EMAIL PROTECTED]> wrote:
> > >
> > > Merhaba FreeBSD sunucukarimda asagidaki ciktiyi aliyorum.
> > >
> > > Sep 28 16:10:39 mail /kernel: arp: 193.9.155.103
> > > <http://193.9.155.103>moved from 00:57:8f:fe:1d:72 to 00:0d:60:c3:f6:0d
> > > on bge0
> > > Sep 28 16:11:02 mail /kernel: arp: 193.9.155.182
> > > <http://193.9.155.182>moved from 00:87:6b:78:98:0f to 00:08:02:a6:89:a2
> > > on bge0
> > > Sep 28 16:11:02 mail /kernel: arp: 193.9.155.82
> > > <http://193.9.155.82>moved from 00:59:cf:88:3b:f8 to 00:0d:60:e4:0e:02 on
> > > bge0
> > > Sep 28 16:11:02 mail /kernel: arp: 193.9.155.180
> > > <http://193.9.155.180>moved from 00:88:ea:05:1f:fe to 00:40:f4:5c:6d:cb
> > > on bge0
> > > Sep 28 16:11:37 mail /kernel: arp: 193.9.155.190
> > > <http://193.9.155.190>moved from 00:0e:ca:62:24:6c to 00:11:11:6f:bc:6e
> > > on bge0
> > >
> > > O kadar hizli oluyor ki, yerel network'um calisamaz hale gele acaba
> > > neden olabilir.
> > >
> > >
> >
--
Duydunuz mu! Turkiye'nin ilk qmail kitabi cikti.
http://www.acikakademi.com/catalog/qmail/
---------------------------------------------------------------------
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
